6/19の日記の続きで、ローカルProxyツールについて、少し書きます。
Burp Proxy
JRE上で動くツールです。
Web Application Security, Testing, & Scanning | PortSwigger
v1.01をインストールして、何度か使ってみました。
全体的には、コンパクト・シンプルであり、比較的細かい設定も柔軟にできるツールだという感じを受けました。
ただ、困ったのは、Burp上でレスポンスを表示する際に、上の画面キャプチャのようにShift_JIS以外(EUC-JPやUTF-8)のページが文字化けしてしまうということです。
Rsnake氏のBlogで、Burpが改善要望を募っていると知りましたので、早速要望を入れました。
要望を書いた後に、別の問題にも気付きました。リクエストやレスポンスをインターセプトして内容を書き換えると、ブラウザに送るレスポンスをどうにかしてしまうらしく、ブラウザ上での表示まで文字化けする場合があります。
という訳で、今のところ、日本語のサイトをごにょごにょする時には、どうもまともに使えないような気がしています。
あと、以下の機能は欲しいなと思いました。
- レスポンスのHEX表示
- historyのフィルタ/検索機能
文字化けの件と合せて、今後のアップデートに期待したいところです。
最後に一つ。全体に機能本位な感じでよいのですが、見た目(デザイン)が少々寂しいなと思いました。
Fiddler
MSが作っているツールです。.NET Framework上で動きます。
Fiddler - Free Web Debugging Proxy - Telerik
私がインストールしているのはv2.0.9.0 beta。まだあんまり使っていませんが、とりあえず気づいた事をいくつか。
HTTP Session(左側)
Performance Statistics(右側)
- デフォルトでは、何故かこのタブが開いた状態で起動する。
Session Inspector(右側)
Breakpoint(右側)
Request Builder(右側)
WebScarab
OWASPのツールです。JRE上で動きます。
Category:OWASP WebScarab Project - OWASP
version20060718-1904をインストールしています。まだ殆ど使ってません。
- 見た目は、Burpよりもさらにもっさりした感じ。
- タブやボタンが多い。慣れていないせいか判りにくい。
- 全体的に動作が遅い気がする(インターセプトなど)。
- ここ2年くらいは、年1〜2回のアップデート頻度。